Datos y seguridad en AWS: DynamoDB y Secrets Manager

Curso práctico sobre los dos servicios AWS más usados para la persistencia y la gestión segura de credenciales en aplicaciones en la nube: DynamoDB y Secrets Manager. Orientado a perfiles con base en IAM y S3 que necesitan incorporar una base de datos NoSQL y una estrategia de gestión de secretos a su stack, el curso cubre el modelado de datos en DynamoDB, las operaciones CRUD y los patrones de acceso eficientes, la indexación con GSI y LSI, y la gestión completa del ciclo de vida de secretos con Secrets Manager, incluyendo rotación automática y comparativa con Parameter Store. Al finalizar, el participante será capaz de diseñar y operar una tabla DynamoDB ajustada a sus patrones de consulta y gestionar credenciales de aplicación de forma segura y automatizada.

Al finalizar el curso, el participante será capaz de:

• Diseñar una tabla DynamoDB identificando la partition key, la sort key y los tipos de datos adecuados al modelo de acceso de la aplicación
• Ejecutar operaciones CRUD sobre DynamoDB desde la consola y el AWS CLI
• Seleccionar entre Query y Scan según el patrón de acceso y justificar el impacto de cada operación en coste y rendimiento
• Añadir índices secundarios globales (GSI) y locales (LSI) para soportar patrones de consulta alternativos sin rediseñar la tabla principal
• Almacenar y recuperar credenciales de forma segura con AWS Secrets Manager
• Configurar la rotación automática de secretos y comparar Secrets Manager con SSM Parameter Store para seleccionar la solución adecuada a cada caso
• Aplicar el principio de mínimo privilegio en IAM para controlar el acceso a secretos desde aplicaciones y servicios AWS

1. Modelado de datos en DynamoDB Modelo de datos NoSQL frente a relacional: cuándo usar cada uno; conceptos clave: partition key, sort key, ítems y atributos; tipos de datos soportados: String, Number, Binary, List, Map, Set; elección de partition key: distribución uniforme y patrones de acceso; tablas de un solo tipo de ítem vs. tablas multi-entidad; capacidad bajo demanda vs. provisionada
2. Operaciones CRUD y patrones de acceso PutItem, GetItem, UpdateItem y DeleteItem desde la consola y el AWS CLI; BatchWriteItem y BatchGetItem para operaciones en lote; Query: cómo funciona, cuándo usarlo y estructura del KeyConditionExpression; Scan: cuándo es aceptable y por qué debe evitarse en tablas grandes; FilterExpression y su impacto en el consumo de unidades de capacidad
3. Índices secundarios GSI vs. LSI: diferencias de alcance, flexibilidad y coste; casos de uso típicos: búsqueda por atributo no clave, ordenación alternativa; creación de un GSI en una tabla existente; proyecciones: ALL, KEYS_ONLY y INCLUDE; consideraciones de coste y consistencia en lecturas sobre índices
4. Gestión de secretos con Secrets Manager Tipos de secretos: credenciales de base de datos, claves de API y secretos arbitrarios; creación y recuperación de un secreto con la consola y el SDK; integración con aplicaciones: GetSecretValue desde Lambda y EC2; por qué no almacenar secretos en variables de entorno ni en el código
5. Rotación automática y comparativa con Parameter Store Rotación automática: cómo funciona, Lambda de rotación y soporte nativo para RDS; configuración del intervalo de rotación; Secrets Manager vs. SSM Parameter Store: coste, cifrado, rotación y cuándo elegir cada uno; control de acceso a secretos con políticas IAM de mínimo privilegio por aplicación y entorno

• AWS CLI v2 configurado con credenciales y perfil activo
• Cuenta AWS con permisos sobre DynamoDB, Secrets Manager, SSM Parameter Store, Lambda e IAM
• Editor de código para consultas y scripts con el SDK (Python/boto3 o Node.js recomendado)
• Navegador web actualizado para acceso a la consola de AWS

→ AWS01 — AWS: IAM y S3 (Iniciación, 8h)

• Crear usuarios, grupos y roles IAM asignando políticas gestionadas adecuadas
• Aplicar el principio de mínimo privilegio definiendo políticas IAM con permisos específicos por servicio y recurso
• Configurar el AWS CLI con credenciales y perfiles para operar desde la terminal